上一期我们完成了基本的登录操作,然而,直接通过明文密码登录显然是非常不安全的。因此,我们必须对密码进行加密以加强信息的安全性。
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2004年,证实MD5算法无法防止碰撞(collision),因此不适用于安全性认证,如SSL公开密钥认证或是数字签名等用途。
—— 摘自百度百科
MD5 具有以下特点:
根据以上特点,我们就可以使用 MD5 实现密码的加密和安全登录。
“加盐”即为计算机密码加密中常用的"add salt",一般用于在原密码后面追加一些无关字符后在进行不可逆加密(例如MD5)以便增强安全性
现在有很多 MD5 在线解密的网站,它们其实是使用穷举算法,根据原字符串生成的 MD5 逐个比对,从而通过MD5 得到原先的数据串。
因此我们有必要在加密前,先对数据串做一些修改。例如,在数据串的结尾增加一串新内容,这便是加盐。
原串:“123456”
盐:“Koorye_Love_MD5”
加盐后的串:“123456Koorye_Love_MD5”
我们对加盐后的串再加密,得到的结果便更难被破解。
Hash,一般翻译做散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
散列实际上是通过 Hash 函数,将原串的值通过 Hash 函数做一次映射,从而得到一个新串。由于散列很难找到逆向规律,这种算法同样可以增加密文的复杂性。
举例:
现定义一种哈希函数,将字符 ‘a’ 映射到 ‘b’,‘b’ 映射到 ‘d’,‘c’ 映射到 ‘f’ (第几个字母就向后推几位,如果超出 ‘z’ 就向前推 26 位)…
那么,对原串 ‘acfbg’ 散列,得到的结果是 ‘bfldn’.
对 ‘bfldn’ 再进行一次散列,得到的结果是 ‘dlxhb’.
这种算法很难找到逆向规律,例如 ‘b’ 可能由 ‘a’ 得到,也可能由 ‘n’ 得到。
我们在 MD5 加密后进行散列时,通常会进行 1024 次或 2048 次,这使得原串很难被破解。
Shiro 为我们提供了 MD5 的加密算法,我们只需使用 Md5Hash 类即可实现:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456");
System.out.println(md5Hash.toHex());
}
运行:
e10adc3949ba59abbe56e057f20f883e
Process finished with exit code 0
加盐和散列也非常简单,只需在构造函数中添加即可。
Md5Hash 的构造函数:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
注意加盐和散列后得到结果与不加盐不散列的结果是不同的。
我们自定义的 Realm 类一般都要继承一个名为 AuthorizingRealm 的类,这个类需要我们重写两个方法:
doGetAuthorizationInfo 认证doGetAuthenticationInfo 登录验证我们暂时先不管认证方法。
Shiro 的登录验证分为两步,用户名验证和密码验证。用户名验证需要我们自行判断,而密码验证 Shiro 为我们封装好了一个 SimpleAuthenticationInfo 类帮助我们自动完成。
我们先从明文登录开始。
首先通过 authenticationToken.getPrincipal() 拿到 token 的用户名,如果用户名不存在,返回 null。
如果用户名存在,返回 SimpleAuthenticationInfo 以验证密码,这个类需要三个参数:
this.getName() 即可package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"123456", // 自动判断密码匹配
this.getName());
} else {
return null; // 用户不存在
}
}
}
编写一个测试类:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
manager.setRealm(new UserRealm());
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
运行:
登录成功
Process finished with exit code 0
首先我们来定义一个 MD5 加密算法,因为,我们必须在验证时用一样的算法,才可以验证成功。
定义的算法:加盐 “Koorye_Love_MD5”,1024 次散列。
编写一个测试类查看结果:
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
如果要使用数据库,我们在数据库中存储的就是密码经过 MD5 加密后的串。
不过我们这里没有用到数据库,于是我们将加密后的串作为证书:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
this.getName());
接下来,我们需要在 Realm 中说明加密算法的过程。
在声明 Realm 时说明加密算法是 MD5:
先声明一个 HashedCredentialsMatcher,然后用 matcher.setHashAlgorithmName("md5") 说明方法是 MD5.
再声明一个 Realm,使用userRealm.setCredentialsMatcher(matcher) 设置加密方法。
最后将 Realm 添加到 SecurityManager 中。
修改后的代码:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
我们需要使用 SimpleAuthenticationInfo 的另一种构造方法,这个方法的第三个参数使用 ByteSource.Util.bytes() 传入盐:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
至于散列的声明,则要与加密算法的声明同时进行:
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
修改后的 Realm:
package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
} else {
return null; // 用户不存在
}
}
}
修改后的 Test:
package org.koorye.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.koorye.helloshiro.UserRealm;
public class TestShiro {
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
}
运行:
登录成功
Process finished with exit code 0
测试成功!
文章浏览阅读93次。用过了很多压测工具,却一直没找到中意的那款。最近试了wrk感觉不错,写下这份使用指南给自己备忘用,如果能帮到你,那也很好。安装wrk支持大多数类UNIX系统,不支持windows。需要操作系统支持LuaJIT和OpenSSL,不过不用担心,大多数类Unix系统都支持。安装wrk非常简单,只要从github上下载wrk源码,在项目路径下执行make命令即可。git clone https..._wrk压测工具详细教程
文章浏览阅读325次。在制作PPT的时候,不免会使用多种字体,或者从其他软件复制过来的内容,粘贴后就应用了原来的字体。字体多了,对于页面来说反而变得花里胡哨。所以,有时需要把多余的字体全部删除,仅保留需要的一种或两种字体,可以使用PPT插件中的iSlide一键操作。1.打开PPT,建立空白演示文稿。2.在幻灯片中插入两段文字,分别为各段文字设置一种颜色。3.但是,当字体使用过多,例如下图所示,给各个段落文字分别使用一种..._ppt统一字体格式主题 强制 核心模式区别
文章浏览阅读3.5k次。1.准备文件系统 a.在osdrv/pub/中有已经编译好的文件系统(rootfs_uclibc),因此无需再重复编译文件系统,只需要根据单板上flash的规格型号制作文件系统镜像即可。b.往rootfs_uclibc中,添加自己项目的应用程序,相关库,相关配置c.制作文件系统nand flash 信息:2KB pagesize、4bit ecc即:mkyaffs2imag..._boot kernel app打包
文章浏览阅读96次。ExtJs Grid: "Remove Selected Record" Toolbar ButtonExt.onReady(function () { Ext.define('Ext.ux.DeleteButton', { extend: 'Ext.button.Button', alias: 'widget.delbutton', ..._extjs4 widgetcolumn
文章浏览阅读1.9k次,点赞8次,收藏3次。网上也有针对这个问题的其他的解决方案,如在 Tools > Deployment > Configuration 中的 Visible only for this project 取消勾选,但我本来也没勾选这个选项,所以对我而言完全没有用。这里提供给有需要的同学参考。这里提供给有需要的同学参考。_cannot find remote credentials for target config com.jetbrains.plugins.remot
文章浏览阅读26次。本文已参与「新人创作礼」活动,一起开启掘金创作之路• 闭包:是由函数及其相关的引用环境组合而成的实体。• 不同编程语言实现闭包的方式是不同的,Python中闭包从表现形式 上看,如果在一个内部函数里,对在外部作用域(不是在全局作用 域)的变量进行引用,那么内部函数就被认为是闭包。• 闭包中不可以直接修改外部函数的局部变量。 – 类似于不能直接在函数中修改全局变量(可变类型除外),需..._神光棒用python
文章浏览阅读2.9k次。按: 尽管我们已经不习惯看长篇大论, 但我还是要说, 这是一篇值得你从头读到尾的长篇文章.2005年9月22日,清华在读博士生王垠在水木社区BLOG上发表了《清华梦的粉碎--写给清华大学的退学申请》明确要求退学, 引起社会各界广泛争论. 他创作的长篇文章《完全用Linux工作》, 洋洋两万多字, 从不同角度居高临下的阐述了他眼中Linux完全优越于Windows的各种理由, 这篇文章并不简单的是一_windows linux 清华退学
文章浏览阅读946次。 文章原址为:http://www.cnblogs.com/zhumk/archive/2005/06/04/167904.htmlABAP:SmartForms 之二--设计 报表要求:(见下表)要求:1、不是套打,表格线也需要输出2、每张报表打印8行记录,不足的空白行也需要输出3、按凭证号打印单据,可以连续打印多张报表。 一、创建样式:在创建Form之前,需要创建多种段落_smartforms style standard paragraph is not filled
文章浏览阅读1.4k次。row_number() over()为查询出来的每一行记录生成一个序号。序号从1开始,按照顺序,生成分组内记录的序列,row_number()的值不会存在重复,当排序的值相同时,按照表中记录的顺序进行排列。示例:利用row_number函数,对表中的数据根据id进行分组,按照pv倒序排序求最大的pv相关信息。select t.id, t.date, t.pvfrom(selectid,date, pv, row_number() over(partition by id ord_row_number() over()和rank
文章浏览阅读430次。【代码】Java 创建一个快捷窗口 用于监控文件夹与打开文件夹。_jframe 打开文件夹
文章浏览阅读745次。背景做管理平台的项目,用到了element-ui,需要通过监听el-table滚动的位置来获取最新的数据,那么怎么样监听el-table的滚动呢?准备我们默认的技术栈是 vue+element-uitemplate代码::data="logList":show-header="false"row-class-name="table-row-class"height="700"ref="table"..._html监听表格加载事件
文章浏览阅读421次。您的转发和吐槽是我们前进的动力今日要闻 监管要闻·俄罗斯军方将利用区块链技术追踪黑客攻击的来源·日本计划更改加密货币累进税为统一税率·四川省委全体会议决定积极探索区块链发..._波洛莱物流 阿里巴巴